ビュー:
Active Directory (オンプレミス) を使用したシングルサインオン用にNTLMまたはKerberosを設定する前に、まずActive Directoryサーバとクライアントコンピュータを設定する必要があります。
重要
重要
Service GatewayにZero Trust Secure Accessオンプレミスゲートウェイがインストールされ、有効になっていることを確認します。
関連情報

KerberosまたはNTLMシングルサインオン用のActive Directoryサーバの設定

Active Directoryサーバを設定して、オンプレミスインターネットアクセスゲートウェイでシングルサインオン認証サービスを有効にする準備をします。

Active DirectoryサーバでKerberosまたはNTLMのシングルサインオンを設定するには、認証プロキシとして使用するオンプレミスゲートウェイのDNSレコードを追加する必要があります。

手順

  1. 認証プロキシとして使用するオンプレミスゲートウェイサービスで設定されたService GatewayのIPアドレスを取得します。
    1. Trend Vision One コンソールで、[Workflow and Automation][Service Gateway Management]
    2. 認証プロキシとして使用するService Gatewayの識別子をクリックします。
    3. [Service Gatewayの詳細] 画面で、IPv4アドレスをコピーします。
  2. Active Directoryサーバコンソールで、次の場所に移動します。[管理ツール][DNS][前方参照ゾーン]
  3. 指定したオンプレミスインターネットアクセスゲートウェイと同期するActive Directoryドメインの名前を右クリックし、 [新しいホスト...]を選択します。
  4. 表示される [New Host] 画面で、認証プロキシの [Name] を指定します。
    など、覚えやすい名前を使用します。認証
  5. 認証プロキシとして使用するService GatewayのIPv4アドレスを入力します。
    [FQDN] フィールドは自動的に入力されます。後の手順で使用するために、[FQDN] をコピーします。
  6. [ホストの追加] をクリックします。
  7. Service GatewayのFQDNを更新します。
    1. Trend Vision One コンソールで、[Workflow and Automation][Service Gateway Management]
    2. 認証プロキシとして使用しているService Gatewayを見つけます。
    3. [Configure settings] アイコン (configure.png )。
      [Service Gateway Settings] ウィンドウが表示されます。
    4. [Edit name] アイコン (edit_001.png )。
    5. 値をコピーした完全修飾ドメイン名
    6. [Change]をクリックし、 [Save]をクリックします。

KerberosまたはNTLMシングルサインオン用のクライアントコンピュータの設定

クライアントコンピュータを設定して、オンプレミスインターネットアクセスゲートウェイでシングルサインオン認証サービスを有効にする準備をします。

手順

  1. クライアントコンピュータのDNSサーバを設定します。
    1. クライアントコンピュータでWebブラウザを開き、[インターネット設定] の [インターネットプロトコルバージョン4 (TCP/IPv4)] に移動します。
    2. [優先DNSサーバ] フィールドに、 Active DirectoryサーバのIPアドレスを入力します。
    3. [OK] をクリックします。
  2. クライアントコンピュータでIPv6を無効にします。
    1. クライアントコンピュータのブラウザで、[インターネット設定] の [インターネットプロトコルバージョン6 (TCP/IPv6)] に移動します。
    2. [IPv6の使用を有効にする] チェックボックスをオフにします。
    3. [OK] をクリックします。
  3. クライアントコンピュータをActive Directoryドメインに追加します。
    1. [システムのプロパティ] に移動し、 [コンピュータ名] タブを選択します。
    2. [変更]を選択します。
    3. 表示される [コンピュータ名/ドメインの変更] 画面で、 [ドメイン] を選択し、目的のActive Directoryドメインの名前を入力します。
    4. [OK] をクリックします。
    5. 管理者アカウントのユーザ名とパスワードを確認します。
    6. クライアントコンピュータを再起動し、 Active Directoryドメインのユーザアカウントの認証情報を使用してサインインします。
  4. 認証プロキシのFQDNが、クライアントのプロキシ設定のバイパスまたは除外リストに含まれていることを確認します。
    • PACファイルを使用している場合は、 Trend Vision OneのPAC File SettingsにFQDNを追加します。
      1. Trend Vision One コンソールで、[Zero Trust Secure Access][Secure Access Configuration][Internet Access Configuration][PAC Files]
      2. クライアントコンピュータが使用しているPACファイルを見つけて、編集アイコン (modify-connector.jpg )。
      3. FQDNをバイパスプロキシリストに追加します。
      4. [保存]
      5. アップデートされたPACファイルをクライアントコンピュータに配信します。
    • クライアントコンピュータで手動プロキシ設定を使用している場合は、FQDNをプロキシ除外リストに追加します。
      1. クライアントコンピュータで、次の場所に移動します。[Start][Settings][Network & Internet][Proxy]
      2. [Use the proxy server except for addresses that start with the following entries]の下のリストにFQDNを追加します。
      3. [保存]
  5. クライアントコンピュータで、 Secure Access Moduleがインストールされているかどうか、またはサポートされているブラウザに基づいて、認証プロキシのFQDNをイントラネットに追加して、イントラネットゾーンでの自動ログオンを許可します。
    接続方法
    対応ブラウザ
    設定
    Secure Access Moduleがインストールされている場合
    該当なし
    1. に移動[Control Panel][Network and Internet][Internet Options]をクリックし、 [Security] タブをクリックします。
    2. [ローカル イントラネット] を選択し、[サイト] をクリックします。
    3. [Local intranet] 画面で、 [Advanced]をクリックし、認証プロキシのFQDNを追加して、 [Add]をクリックします。
    4. 画面を閉じます。
    Secure Access Moduleがインストールされていない場合 (サポートされているブラウザを使用)
    Mozilla®Firefox®
    1. Firefoxを開き、アドレスバーに「about:config」と入力し、[危険性を承知の上で使用する] をクリックします。
    2. NLTMの場合は、検索ボックスで network.automaticと入力して、 [network.automatic-ntlm-auth.trusted-uris]をダブルクリックします。
    3. Kerberosの場合: 検索ボックスでnetwork.negotiate-authと入力して、 [network.negotiate-auth.trusted-uris]をダブルクリックします。
    4. 認証プロキシのFQDNを入力し、 [OK]をクリックします。
    Google Chrome™
    Microsoft Edge™ (Chromiumベース)
    1. [インターネットオプション] を開き、 [セキュリティ] タブをクリックします。
    2. [ローカル イントラネット] を選択し、[サイト] をクリックします。
    3. [ローカルイントラネット] 画面で、 [詳細]をクリックし、認証プロキシのFQDNを追加して、 [追加]をクリックします。
    4. 画面を閉じます。